セキュリティ

SECURITY

公開：2025-05-15

Fortra社、GoAnywhereの脆弱性CVE-2025-0049を公開、バージョン7.8.0へのアップデートを推奨

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Fortra社がGoAnywhereの脆弱性を公開
• バージョン7.8.0より前のGoAnywhereで、エラーメッセージに絶対サーバーパスが含まれる脆弱性
• CVE-2025-0049として公開され、深刻度はLOWと評価

GoAnywhereの脆弱性情報公開

Fortra社は2025年4月28日、GoAnywhereソフトウェアの脆弱性に関する情報を公開した。この脆弱性は、CVE-2025-0049として識別されており、バージョン7.8.0より前のGoAnywhereに影響を与えるものだ。

具体的には、Webユーザーがサブフォルダへの作成権限を持たない状態で、存在しないディレクトリにファイルをアップロードしようとすると、エラーメッセージに絶対サーバーパスが含まれてしまう。この情報漏洩により、アプリケーションマッピングのためのファジング攻撃が可能となる可能性があるのだ。

Fortra社は、この脆弱性を修正したGoAnywhere 7.8.0へのアップデートを推奨している。ユーザーは速やかにアップデートを実施し、セキュリティリスクを軽減する必要がある。

この脆弱性のCVSSスコアは3.5で、深刻度はLOWと評価されている。しかし、絶対サーバーパスの漏洩は、他の攻撃への足掛かりとなる可能性があるため、軽視すべきではない。

脆弱性詳細

Fortraセキュリティアドバイザリ

GoAnywhereについて

GoAnywhereは、Fortra社が提供するマネージドファイル転送サービスだ。セキュアなファイル転送、自動化されたワークフロー、そして包括的な監査機能を提供することで、企業のデータセキュリティと効率性を向上させることを目的としている。

• セキュアなファイル転送
• ワークフローの自動化
• 包括的な監査機能

GoAnywhereは、様々な業界の企業で使用されており、重要なビジネスデータの安全なやり取りに貢献している。

CVE-2025-0049に関する考察

今回の脆弱性修正は、GoAnywhereユーザーにとって重要なセキュリティアップデートだ。迅速な対応によって、潜在的な情報漏洩リスクを最小限に抑えることができる。しかし、アップデートが完了したとしても、定期的なセキュリティ監査や、従業員のセキュリティ意識向上のためのトレーニングを実施する必要があるだろう。

今後、同様の脆弱性が発見される可能性も否定できない。そのため、Fortra社には継続的なセキュリティ監視と迅速な対応体制の構築が求められる。また、ユーザー側も、セキュリティパッチの適用だけでなく、セキュリティに関する最新情報を常に把握し、適切な対策を講じる必要がある。

さらに、エラーメッセージの設計を見直し、機密情報が漏洩しないような対策を講じるべきだ。例えば、エラーメッセージに絶対パスを含める代わりに、より抽象的なエラーメッセージを表示する、といった対策が考えられる。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-0049」. https://www.cve.org/CVERecord?id=CVE-2025-0049, (参照 25-05-15).
2349

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧